(4.3.1)--4.3强制存取控制.pdf

《(4.3.1)--4.3强制存取控制.pdf》由会员分享，可在线阅读，更多相关《(4.3.1)--4.3强制存取控制.pdf（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、强制存取控制强制存取控制方法 强制存取控制(MAC)MAC不是用户能直接感知或进行控制的。MAC适用于对数据有严格而固定密级分类的部门。军事部门 政府部门 在MAC中，DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体：DBMS所管理的实际用户、代表用户的各进程。客体是系统中的被动实体，是受主体操纵的：文件、基表、索引、视图。对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）。强制存取控制方法 敏感度标记 敏感度标记分成若干级别 公开(Public,P)，可信(Confidential,C)，机密(Secret,S)，绝密(Top Secret,T

2、S)密级的次序 P=C=S=TS 主体的敏感度标记称为许可证级别（Clearance Level）客体的敏感度标记称为密级（Classification Level）MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体。强制存取控制方法 强制存取控制规则 当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应的客体。用户可为写入的数据对象赋予高于自己的许可证级别的密级。一旦数据被写入，该用户自己也不能再读该数据对象了。禁止了拥有高许可证级别的主体更新低密级的数据对象，从而防止了敏感数据的泄露。强制存取控制方法DAC与MAC DAC与MAC共同构成DBMS的安全机制。较高安全性级别提供的安全保护要包含较低级别的所有保护。先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。